awesome malware analysis

Куративный список удивительных инструментов и ресурсов анализа вредоносных программ. Вдохновлен Awesome-Python и Awesome-Php.

• Коллекция вредоносных программ
  • Анонимные
  • Honeypots
  • Вредоносные программы
• Интеллект угрозы с открытым исходным кодом
  • Инструменты
  • Другие ресурсы
• Обнаружение и классификация
• Онлайн -сканеры и песочницы
• Анализ домена
• Удолосование браузера
• Документы и шоссе
• Файл резьба
• Деобфускация
• Отладка и обратная техника
• Сеть
• ПЕРЕМЕНИНАЯ ПЕРЕМЕНИКА
• Артефакты Windows
• Хранение и рабочий процесс
• Разнообразный
• Ресурсы
  • Книги
  • Другой
• Связанные потрясающие списки
• Внося
• Спасибо

Посмотреть китайский перевод: 恶意软件分析大合集 ​​.md.

Анонимные веб -трафика для аналитиков.

• Anonymouse.org - бесплатный веб -анонимный аноним.
• OpenVPN - программное обеспечение и хостинг VPN.
• Privoxy - прокси -сервер с открытым исходным кодом с некоторыми функциями конфиденциальности.
• Tor - луковый маршрутизатор, для просмотра Интернета, не оставляя следы IP клиента.

Ловить и собирайте свои собственные образцы.

• Конпот - ICS/Scada Honeypot.
• Cowrie - SSH Honeypot, на основе Kippo.
• Demohunter - Низкое взаимодействие распределенных медонов.
• Dionaea - Honeypot, предназначенная для ловушки вредоносного ПО.
• Glastopf - веб -приложение Honeypot.
• Honeyd - Создайте виртуальную Honeynet.
• Honeydrive - Dephot Bundle Linux Distro.
• Honeytrap - OpenSource System для работы, мониторинга и управления меднымипотами.
• MHN - MHN - это централизованный сервер для управления и сбора данных HoneyPots. MHN позволяет быстро развернуть датчики и немедленно собирать данные, которые можно просматривать из аккуратного веб -интерфейса.
• Мнемосин - нормализатор для данных Honeypot; Поддерживает Dionaea.
• Бандит - низкий взаимодействие HoneyClient, для изучения вредоносных сайтов.

Образцы вредоносных программ, собранные для анализа.

• Чистый MX - База данных в реальном времени вредоносных программ и вредоносных доменов.
• Contagio - коллекция недавних образцов и анализов вредоносных программ.
• Эксплойтская база данных - Эксплойт и образцы шелка.
• Infosec - Cert -PA - Сбор и анализ образцов вредоносных программ.
• Labs Incest - Evergroucing Searchain Corpus of Mi -of Microsoft Documents.
• Коллекция Mallware JavaScript - коллекция почти 40 000 образцов вредоносных программ JavaScript
• Malpedia - ресурс, обеспечивающий быстрый идентификационный и действенный контекст для расследований вредоносных программ.
• MALSHARE - Большое хранилище вредоносных программ активно отказалось от вредоносных сайтов.
• Ragpicker - Главут на основе плагинов с предварительным анализом и функциональными возможностями отчетности
• Thezoo - Живые образцы вредоносных программ для аналитиков.
• Tracker H3X - Агрегатор для мультипликационного корпуса Tracker и вредоносные сайты загрузки.
• Vduddu Malware Repo - Сбор различных вредоносных файлов и исходного кода.
• Virusbay - сообщество на уровне репозитория вредоносных программ и социальная сеть.
• Virusign - База данных вредоносных программ, обнаруженная многими анти вредоносными программами, кроме Clamav.
• Virusshare - хранилище вредоносных программ, требуется регистрация.
• VX Vault - активная коллекция образцов вредоносных программ.
• Источники Zeltser - список источников образцов вредоносных программ, созданных Ленни Зельтсером.
• Исходный код Zeus - источник для Zeus Trojan просочился в 2011 году.
• VX Underground - Массовая и растущая коллекция бесплатных образцов вредоносных программ.

Урожай и проанализируйте МОК.

• AssuseHelper - рамка с открытым исходным кодом для получения и перераспределения кормов и угроз Intel.
• Alienvault Open Exchange - обмен и сотрудничает в разработке интеллекта угроз.
• Комбинация - инструмент для сбора индикаторов интеллекта угроз из общедоступных источников.
• FileIntel - разведка разведки за файл хэш.
• HOSTINTEL - развлечение разведки на хоста.
• Intelmq - инструмент для CERT для обработки данных об инцидентах с использованием очереди сообщений.
• Редактор IOC - бесплатный редактор для XML IOC файлов.
• IOCEXTRACT - расширенный индикатор компромиссного экстрактора (IOC), библиотеки Python и инструмента командной строки.
• ioc_writer - библиотека Python для работы с объектами Openioc, от Mandiant.
• MALPIPE - Вреду/IOC проглатывание и двигатель переработки, который обогащает собранные данные.
• Массовая Octo Spice - ранее известная как CIF (структура коллективного интеллекта). Агрегаты МОК из различных списков. Куратор фонда CSIRT Гаджетов.
• MISP - платформа обмена информацией о вредоносных программах, курируемая проектом MISP.
• Pulsedive-Бесплатная, управляемая сообществом платформу для интеллектуальной интеллектуальной платформы, собирая МОК из каналов с открытым исходным кодом.
• Pyioce - редактор Python Openioc.
• RiskIIQ - Исследование, подключение, теги и обмениваться IP и доменами. (Был пассивтотальным.)
• Угрозаргатор - агрегирует угрозы безопасности из ряда источников, в том числе некоторые из перечисленных ниже в других ресурсах.
• AgenconConnect - TC Open позволяет вам видеть и делиться данными об угрозах с открытым исходным кодом, при поддержке и проверке от нашего бесплатного сообщества.
• Угроза - поисковая система для угроз, с графической визуализацией.
• Ageningestor - создайте автоматическую угрозу Intel Pipesing Sourcing из Twitter, RSS, GitHub и многое другое.
• Aregtracker - сценарий Python для мониторинга и генерации оповещений на основе IOC, индексированных набором пользовательских систем Google.
• TIQ -тест - визуализация данных и статистический анализ каналов интеллекта угроз.

Интеллект угрозы и ресурсы МОК.

• AutoShun (список) - плагин Snort и BlockList.
• Bambenek Consulting Feeds - Feeds Osint на основе злонамеренных алгоритмов DGA.
• Fidelis Barncat - обширная база данных конфигурации вредоносных программ (необходимо запросить доступ).
• Армия CI (список) - списки сетевой безопасности.
• Критическая стека - бесплатный рынок Intel - бесплатный агрегатор Intel с дедупликацией с 90+ каналами и более 1,2 млн. Индикаторов.
• Cybercrime Tracker - Active Tracker с несколькими ботнетами.
• FireEye IOCS - Индикаторы компромисса, общих публично, FireEye.
• Списки IP Firehol - Аналитика для 350+ списков IP с акцентом на атаки, вредоносные программы и злоупотребления. Эволюция, история изменений, карты страны, возраст IPS, политика удержания, совпадения.
• HoneyDB - Общественное сбор данных датчиков и агрегации датчиков Honeypot.
• HPFEEDS - Протокол подачи Honeypot.
• Infosec - Списки CERT -PA (IPS - Домены - URLS) - сервис BlockList.
• Onpest repdb - Непрерывная агрегация МОК из различных источников открытой репутации.
• Следствие IOCDB - Непрерывная агрегация МОК из различных блогов, github Repos и Twitter.
• Центр интернет -штормов (DSHIELD) - Дневник и база данных об инцидентах с возможностью поиска с веб -API. (Неофициальная библиотека Python).
• MALC0DE - База данных об инцидентах с возможностью поиска.
• Список доменов вредоносных программ - Поиск и делится вредоносными URL -адресами.
• Metadefender угроза подача интеллекта - список наиболее поисковых хэшей с файлами из Metadefender Cloud.
• OpenIOC - структура для обмена интеллектом угроз.
• Интеллектуальная информация об угрозе доказательства - наборы правил и многое другое. (Ранее появляющиеся угрозы.)
• Обзор вымогателей - список обзора вымогателей с деталями, обнаружением и профилактикой.
• Stix - Структурированная информация об угрозе - стандартизированный язык для представления и обмена информацией о киберугрозах. Связанные усилия от MITRE:
  • CAPEC - Общее перечисление и классификация шаблона атаки
  • Экспрессия кибер -наблюдателя
  • MAEC - Удача и характеристика атрибутов вредоносных программ
  • Такси - доверенный автоматический обмен индикатором информации
• SystemLookup - SystemLookup проводит коллекцию списков, которые предоставляют информацию о компонентах законных и потенциально нежелательных программ.
• AGHETMINER - портал добычи данных для интеллекта угроз, с поиском.
• TreaTrecon - Поиск индикаторов, до 1000 бесплатно в месяц.
• Угроза - C2 Tracker Tracker
• Правила Яры - Яра правит репозиторий.
• Yeti - Yeti - это платформа, предназначенная для организации наблюдаемых, индикаторов компромисса, TTP и знаний об угрозах в едином едином репозитории.
• Зевс -трекер - блокировки Zeus.

Антивирус и другие инструменты идентификации вредоносных программ

• Analyzepe - Обертка для различных инструментов для отчетности в файлах Windows PE.
• Assemblyline - масштабируемая система сортировки файлов и анализ вредоносных программ, интегрирующая лучшие инструменты сообщества кибербезопасности.
• BinaryAlert - с открытым исходным кодом, без серверного конвейера AWS, который сканирует и оповещает загруженные файлы на основе набора правил Yara.
• CAPA - обнаруживает возможности в исполняемых файлах.
• CHKROOTKIT - локальное обнаружение Linux Rootkit.
• Кламав - антивирусный двигатель с открытым исходным кодом.
• Обнаруйте это легко (Die) - программа для определения типов файлов.
• Exeinfo PE - Пэкер, детектор компрессора, информация о распаковке, внутренние инструменты EXE.
• Exiftool - Читать, записать и редактировать метаданные файла.
• Файл -сканирование структуры - модульное, рекурсивное решение для сканирования файлов.
• FN2YARA - FN2YARA - это инструмент для создания подписей Yara для сопоставления функций (код) в исполняемой программе.
• Общий анализатор файла - один библиотечный анализатор для извлечения мета -информации, статического анализа и обнаружения макросов в файлах.
• HASHDEEP - вычислить хэши с разнообразными алгоритмами.
• Hashcheck - расширение оболочки Windows для вычисления хэшей с различными алгоритмами.
• Локи - Сканер на базе хоста для IOCS.
• Неисправность - каталог и сравнивает вредоносное ПО на функциональном уровне.
• Manalyze - Статический анализатор для исполняемых файлов PE.
• Мастиф - Статическая структура анализа.
• Multiscanner - модульная структура сканирования/анализа файлов
• Детектор файлов NAUZ (NFD) - Линкер/компилятор/детектор инструментов для Windows, Linux и MacOS.
• nsrllookup - инструмент для поиска хэшей в базе данных Nist's National Software Bibrary.
• Packerid - кроссплатформенная альтернатива Python Peid.
• PE -Bear - инструмент для обращения для файлов PE.
• PEFRAME - PEFRAME - это инструмент с открытым исходным кодом для выполнения статического анализа на портативных исполняемых вредоносных программах и вредоносных офисных документах MS.
• PEV - мультиплатформенный инструментарий для работы с файлами PE, предоставляя богатые функции инструменты для правильного анализа подозрительных двоичных файлов.
• Portex - Java Library для анализа файлов PE с особым акцентом на анализ вредоносных программ и устойчивости PE.
• Quark-Engine-систему оценки вредоносных программ Android-сборы в сфере Android
• Rootkit Hunter - обнаружил Linux Rootkits.
• SSDEEP - Вычислить нечеткие хэши.
• TotalHash.py - скрипт Python для удобного поиска базы данных TotalHash.cymru.com.
• TRID - Идентификатор файла.
• Яра - инструмент соответствия шаблонов для аналитиков.
• Генератор правил Yara - генерируйте правила Yara на основе набора образцов вредоносных программ. Также содержит хорошие струны, чтобы избежать ложных срабатываний.
• Yara Finder - простой инструмент для Yara соответствует файлу с различными правилами Yara, чтобы найти показатели подозрений.

Интернет-сканеры и песочницы для вредоносных программ для автоматического анализа.

• anlyz.io - онлайн -песочница.
• any.run - онлайн -интерактивная песочница.
• Andrototal - Бесплатный онлайн -анализ APK против нескольких мобильных антивирусных приложений.
• Boombox - Автоматическое развертывание лаборатории вредоносных программных программных программных программ с помощью Packer и Vagrant.
• Cryptam - анализируйте подозрительные офисные документы.
• Песочница кукушки - с открытым исходным кодом, самостоятельная песочница и автоматизированная система анализа.
• Модифицированная кукура Не объединено вверх по течению из -за юридических проблем со стороны автора.
• Модифицированный апиратор-API-API Python, используемый для управления модифицированной кукушкой песочницей.
• DeepViz-Multi-Format File Analyzer с классификацией машинного обучения.
• Detux - песочница, разработанная для анализа трафика Linux Malwares и захвата IOC.
• Drakvuf - Динамическая система анализа вредоносных программ.
• FileScan.io - анализ статического вредоносного ПО, эмуляция VBA/PowerShell/VBS/JS
• Firmware.re - распаковка, сканирование и анализ практически любого пакета прошивки.
• HabomalHunter - инструмент автоматического анализа вредоносных программ для файлов ELF Linux.
• Гибридный анализ - онлайн -инструмент анализа вредоносных программ, работающий на VXSAndbox.
• Intezer - обнаружить, анализировать и классифицировать вредоносное ПО, определив повторное использование кода и сходства кода.
• Ирма - асинхронная и настраиваемая платформа для анализа для подозрительных файлов.
• Joe Sandbox - глубокий анализ вредоносных программ с Joe Sandbox.
• Jotti - бесплатный онлайн -сканер с несколькими AV.
• Лимон - Песочница для анализа вредоносных программ Linux.
• Malheur - Автоматический анализ поведения вредоносного ПО.
• Malice.io - масштабируемая структура анализа вредоносных программ.
• MALSUB - Python Restful Framework для онлайн -вредоносных и URL -сервисов.
• Удовлетворительный конфигурация - извлечь, декодировать и отображать онлайн настройки конфигурации из Common Malwares.
• MALWAREANALYSER.IO - Статический анализатор на основе аномалий на основе аномалий в Интернете с эвристическим двигателем обнаружения, оснащенным добычей данных и машинного обучения.
• MALWR - Бесплатный анализ с онлайн -экземпляром песочницы кукушки.
• Metadefender Cloud - сканируйте файл, хэш, IP, URL или доменное адрес для вредоносных программ бесплатно.
• NetworkTotal - служба, которая анализирует файлы PCAP и облегчает быстрое обнаружение вирусов, червей, троян и всех видов вредоносных программ с использованием Suricata, настроенных с EmergingThreats Pro.
• Noriben - использует Sysinternals Procmon для сбора информации о вредоносных программах в обоснованной среде.
• Packettotal - Packettotal - это онлайн -двигатель для анализа файлов .pcap и визуализации сетевого трафика внутри.
• PDF Examiner - Проанализируйте подозрительные файлы PDF.
• Procdot - набор инструментов для анализа графических вредоносных программ.
• Recomposer - вспомогательный сценарий для безопасной загрузки двоичных файлов на сайты песочницы.
• Sandboxapi - Библиотека Python для строительства интеграции с несколькими песочницами с открытым исходным кодом и коммерческими вредоносными программами.
• См. - Среда выполнения песочницы (см.) - это основа для автоматизации испытаний по строительству в защищенных средах.
• Анализ Dropper Sekoia - онлайн -анализ капельницы (JS, VBScript, Microsoft Office, PDF).
• Virustotal - Бесплатный онлайн -анализ образцов и URL -адресов вредоносных программ
• Visualize_Logs - Инструменты библиотеки визуализации и командной строки с открытым исходным кодом для журналов. (Кукушка, Прокмон, еще больше ...)
• Список Zeltser - бесплатные автоматические песочницы и услуги, составленные Ленни Зелтсером.

Осмотрите домены и IP -адреса.

• ObseiPdb - ObseiPdb - это проект, посвященный помощи в борьбе с распространением хакеров, спамеров и оскорбительной деятельности в Интернете.
• Badips.com - Сообщество IP Blacklist Service.
• Boomerang - инструмент, предназначенный для последовательного и безопасного захвата сетевых веб -ресурсов.
• Cymon - Trade Intelligence Tracker, с поиском IP/Domain/Hash.
• Desenmascara.me - инструмент одного клика, чтобы получить как можно больше метаданных для веб -сайта и оценить его хорошую репутацию.
• Dig - БЕСПЛАТНЫЙ онлайн -копать и другие сетевые инструменты.
• DNSTWIST - Двигатель пересечения доменных имен для обнаружения приседания опечатки, фишинга и корпоративного шпионажа.
• IPINFO - Соберите информацию о IP или домене путем поиска онлайн -ресурсов.
• Machinae - инструмент Osint для сбора информации о URL -адресах, IPS или хэши. Похоже на Automator.
• Mailchecker - библиотека временного обнаружения по электронной почте поперечного языка.
• MALTEGOVT - MALTEGO TRANANMS для вирустотального API. Позволяет исследовать домен/IP и искать хэши и отчеты о сканировании файлов.
• Multi RBL - несколько DNS BlackList и Poards подтвердили обратный поиск DNS более 300 RBL.
• Службы Normshield - Бесплатные услуги API для обнаружения возможных фишинговых доменов, IP -адресов с черным списком и нарушенных учетных записей.
• Phishstats - фишинговая статистика с поиском IP, домена и названия веб -сайта
• Spyse - Subdomains, Whois, Realted Domains, DNS, Hosts AS, SSL/TLS Info,
• SecurityTrails - Исторические и текущие WHOIS, исторические и текущие записи DNS, аналогичные домены, информация о сертификате и другие API и инструменты, связанные с IP.
• SPAMCOP - Список спам -блоков на основе IP.
• Spamhaus - Блок -списк на основе доменов и IPS.
• Sucuri Sitecheck - Бесплатный веб -сайт вредоносной программы и сканер безопасности.
• Talos Intelligence - Поиск IP, домена или владельца сети. (Ранее SenderBase.)
• Tekdefense Automater - инструмент Osint для сбора информации об URL -адресах, IPS или HASHE.
• Urlhaus - проект от злоупотреблений.
• Urlquery - бесплатный URL -сканер.
• urlscan.io - бесплатный URL -сканер и информация о домене.
• Whois - domaintools бесплатно онлайн whois search.
• Список Zeltser - бесплатные онлайн -инструменты для исследования вредоносных веб -сайтов, составленных Ленни Зелтсером.
• Zscalar Zulu - ulu URL -анализатор.

Проанализируйте вредоносные URL -адреса. См. Также анализ домена и документы и разделы ShellCode.

• Bytecode Viewer - объединяет несколько зрителей Java Bytecode и декомпиляторы в один инструмент, включая поддержку APK/DEX.
• Firebug - Extension Firefox для веб -разработки.
• Java Decropiler - декомпиляция и осматривает Java -приложения.
• Java Idx Parser - Подготовки файлов кеша Java idx.
• JSDetox - инструмент анализа вредоносных программ JavaScript.
• Jsunpack -N - JavaScript -выветритель, который имитирует функциональность браузера.
• Krakatau - Java Decropiler, Assembler и Disasssembler.
• Малзилла - анализировать вредоносные веб -страницы.
• Rabcdasm - «надежный actionscript bytecode disassssembler».
• SWF Expligator - Статический и динамический анализ приложений SWF.
• Swftools - Инструменты для работы с Adobe Flash Files.
• xxxswf - сценарий Python для анализа флэш -файлов.

Проанализируйте вредоносный JS и SheltCode из PDFS и офисных документов. См. Также раздел вредоносных программ браузера.

• AnalyzePDF - инструмент для анализа PDF -файлов и попыток определить, являются ли они злонамеренными.
• Box -JS - инструмент для изучения вредоносных программ JavaScript с поддержкой JScript/Wscript и эмуляцией ActiveX.
• Distorm - Disasssembler для анализа вредоносного оборудования.
• Depest Deep File Inspection - Загрузите общие вредоносные приманки для глубокой проверки файлов и эвристического анализа.
• JS Beautifier - JavaScript Распаковка и деобфускация.
• Libemu - Библиотека и инструменты для эмуляции x86 ShellCode.
• MALPDFOBJ - Деконструируйте злонамеренные PDFS в представление JSON.
• OfficeMalsCanner - сканирование для вредоносных следов в офисных документах MS.
• Olevba - сценарий для анализа документов OLE и OPEXML и извлечения полезной информации.
• Origami PDF - инструмент для анализа вредоносных PDF -файлов и многое другое.
• PDF -инструменты - PDFID, PDF -Parser и многое другое от Дидье Стивенса.
• PDF рентгеновский лайт-инструмент анализа PDF, версия рентгеновского роста без бэкэнд.
• PEEPDF - Python Tool для изучения возможных вредоносных PDF.
• Quicksand - Quicksand - это компактная C -структура для анализа подозрений на вредоносные программы для идентификации эксплойтов в потоках различных кодировки, а также для поиска и извлечения встроенных исполняемых файлов.
• Spidermonkey - двигатель JavaScript Mozilla, для отладки вредоносной JS.

Для извлечения файлов из изображений изнутри и памяти.

• BULK_EXTRACTOR - FAST FILE CARING TOOL.
• Evtxtract - Care Windows Windows Event Log Files из Raw Binary Data.
• Прежде всего - инструмент для резьбы файлов, разработанный ВВС США.
• Hachoir3 - Hachoir - это библиотека Python для просмотра и редактирования поле бинарного потока по полю.
• Скальпель - еще один инструмент для резки данных.
• Sflock - вложенная извлечение архива/распаковка (используется в песочнице кукушки).

Обратный XOR и другие методы запутывания кода.

• BALBUZARD - инструмент анализа вредоносных программ для обращения запутывания (XOR, ROL и т. Д.) И многое другое.
• de4dot - .net deobfuscator и unpacker.
• ex_pe_xor & iheartxor - два инструмента от Александра Ханеля для работы с однобайтными кодированными файлами XOR.
• Floss - Fireeye Labs, запутанный решатель строк, использует расширенные методы статического анализа для автоматического деобфусказа из бинарий вредоносных программ.
• Nomorexor - угадайте клавишу XOR 256 байтов, используя частотный анализ.
• PackerAttacker - общий скрытый код -экстрактор для вредоносных программ Windows.
• Extractor Pyinstaller - сценарий Python для извлечения содержимого исполняемого файла Pyinstaller, сгенерированного Windows. Содержимое файла PYZ (обычно PYC -файлов), присутствующего внутри исполняемого файла, также извлекаются и автоматически фиксируются, так что декомпилан Python Bytecode будет распознавать его.
• endpyle6 - декомпилятор Python Python Python. Перевод Python Bytecode обратно в эквивалентный исходный код Python.
• un {i} Packer - Автоматический и не независимый от платформы непостижимый непонятник для двоичных файлов Windows на основе эмуляции.
• Неупотреблятель - автоматизированный вредоносное ПО ДОЛЖИ ДЛЯ ВИНКАХ НАЛАСНОВКИ НА WINAPPDBG.
• Unxor - угадайте клавиши Xor, используя атаки известных Plaintext.
• VirtualDeoBfuscator - инструмент обратного инженерного инженера для оберток виртуализации.
• Xorbruteforcer - сценарий Python для грубых зажигания однобайтовых клавиш Xor.
• Xorsearch & xorstrings - пара программ от Дидье Стивенса для поиска XORED.
• Xortool - угадайте длину клавиши XOR, а также сама клавиша.

Разборщики, отладчики и другие инструменты статического и динамического анализа.

• ANGR - Платформа -агрессивная бинарная структура анализа, разработанная в Seclab от UCSB.
• BAMFDETECT - идентифицирует и извлекает информацию из ботов и других вредоносных программ.
• BAP - мультиплатформенная и открытый костюм (MIT).
• Barf - мультиплатформенная, бинарный анализ с открытым исходным кодом и структура обратной инженерии.
• Binnavi - Бинарный анализ IDE для обратной инженерии на основе визуализации графика.
• Бинарный ниндзя - реверсирующая инженерная платформа, которая является альтернативой IDA.
• Binwalk - инструмент анализа прошивки.
• Bluepill - Framework для выполнения и отладки уклончивой вредоносной программы и защищенных исполнителей.
• CAPSTONE - Распространенная структура для бинарного анализа и обращения, при поддержке многих архитектур и привязков на нескольких языках.
• CodeBro - веб -кодовый браузер с использованием Clang для обеспечения базового анализа кода.
• Резак - графический интерфейс для Radare2.
• DECAF (Dynamic Exectedable Code Framework) - платформа бинарного анализа, основанная на QEMU. DroidScope теперь является расширением кофе без кофеината.
• Dnspy - .NET Assembly Editor, декомпилятор и отладчик.
• Dotpeek - бесплатный .NET Декомпилятор и браузер сборки.
• Отладчик Эвана (EDB) - модульный отладчик с QT GUI.
• Fibratus - инструмент для исследования и трассировки ядра Windows.
• FPORT - Отчеты открывают порты TCP/IP и UDP в живой системе и отображают их с приложением.
• GDB - отладчик GNU.
• GEF - GDB улучшенные функции, для эксплуататоров и реверс -инженеров.
• Ghidra - рамка обратной инженерии программного обеспечения (SRE), созданная и поддерживаемая Управлением Агентства национальной безопасности.
• Hackers -Grep - утилита для поиска строк в исполняемых файлах PE, включая импорт, экспорт и символы отладки.
• Хоппер - MacOS и Linux Disasssembler.
• IDA Pro - Windows Disassembler и Debugger, с бесплатной оценкой версией.
• IDR - Interactive Delphi Reconstructor является декомпилятором исполняемых файлов Delphi и динамических библиотек.
• Отладчик иммунитета - отладчик для анализа вредоносных программ и многое другое, с Python API.
• Ilspy - Ilspy - это браузер с открытым исходным кодом .NET .NET Assembly и декомпилятор.
• Kaitai Struct - DSL для форматов файлов / сетевых протоколов / структур данных Обратная техническая инженерия и рассечение, с генерацией кода для C ++, C#, Java, JavaScript, Perl, PHP, Python, Ruby.
• Lief - Lief обеспечивает кроссплатформенную библиотеку для анализа, модификации и абстрактных форматов ELF, PE и мачо.
• LTRACE - Динамический анализ для исполнителей Linux.
• Mac-A-Mal-Автоматизированная структура для охоты на вредоносные программы Mac.
• objdump - часть Gnu binutils, для статического анализа бинарных файлов Linux.
• Ollydbg - отладчик на уровне сборки для исполнителей Windows.
• Ollydumpex - сброс память из (распакованного) вредоносного процесса Whindware и хранить необработанную или перестроить файл PE. Это плагин для Ollydbg, иммунитета, отладчика, IDA Pro, Windbg и X64DBG.
• PANDA - платформа для динамического анализа, нейтрального архитектуры.
• PEDA - Python Exploit Помощь в разработке GDB, улучшенный дисплей с добавленными командами.
• Pestudio - выполните статический анализ исполняемых файлов Windows.
• Pharos - структура бинарного анализа Pharos может использоваться для проведения автоматического статического анализа двоичных файлов.
• Плазма - интерактивный разборщик для x86/arm/mips.
• PPEE (Puppy) - профессиональный PE File File Explorer для реверсий, исследователей вредоносных программ и тех, кто хочет больше проверять файлы PE более подробно.
• Process Explorer - Advanced Task Manager для Windows.
• Процесс хакер - инструмент, который контролирует системные ресурсы.
• Процесс -монитор - расширенный инструмент мониторинга для программ Windows.
• Pstools - инструменты командной строки Windows, которые помогают управлять и исследовать живые системы.
• Pyew - Python Tool для анализа вредоносных программ.
• Pyrebox - Python Scriptable Reverse Engineering Sandbox от команды Talos в Cisco.
• Qiling Framework - Структура эмуляции и санбоксинга поперечной платформы с инструментами для бинарного анализа.
• QKD - QEMU с встроенным сервером WindBG для отладки стелс.
• RADARE2 - Обратная инженерная структура, с поддержкой отладчиков.
• Regshot - реестр сравнить утилиту, которая сравнивает снимки.
• Retdec - ретаржетабельный декомпилятор машинного кода с службой декомпиляции онлайн и API, который вы можете использовать в своих инструментах.
• Ropmemu - структура для анализа, анализа и декомпиляции сложных атак с кодом.
• Scylla Imports Reconstructor - Найдите и исправьте IAT распакованного / сброшенного вредоносного ПО PE32.
• Scyllahide-библиотека и плагин против Anti-Debug для Ollydbg, x64dbg, Ida Pro и Titanengine.
• SMRT - Инструмент исследований в отношении вредоносных программ, плагин для Sublime 3, чтобы помочь в анализе вредоносных программ.
• Strace - Динамический анализ для исполнителей Linux.
• Stringsifter - инструмент машинного обучения, который автоматически оценивает строки на основе их актуальности для анализа вредоносных программ.
• Тритон - динамический бинарный анализ (DBA).
• UDIS86 - Библиотека и инструмент для разборщика для x86 и x86_64.
• Vivisect - инструмент Python для анализа вредоносных программ.
• Windbg - многоцелевой отладчик для операционной системы компьютерной системы Microsoft Windows, используемой для отладки приложений пользовательских режимов, драйверов устройств и дамп памяти ядра.
• X64dbg - отладчик с открытым исходным кодом x64/x32 для Windows.

Проанализировать сетевые взаимодействия.

• Bro - анализатор протокола, который работает в невероятной масштабе; И файловые, и сетевые протоколы.
• Бройра - Используйте правила Yara от Bro.
• Captipper - Злоусовный HTTP Traffic Explorer.
• Чопшоп - анализ протокола и рамки декодирования.
• CloudShark - веб -инструмент для анализа пакетов и обнаружения вредоносного обеспечения.
• Fakenet -NG - инструмент динамического сетевого анализа следующего поколения.
• Fiddler - перехват веб -прокси, предназначенный для «веб -отладки».
• Hale - Botnet C & C Monitor.
• Хака - ориентированный на безопасность языка с открытым исходным кодом для описания протоколов и применения политик безопасности на (живом) захваченном трафике.
• Httpreplay - библиотека для анализа и чтения файлов PCAP, включая потоки TLS, используя TLS Master Secrets (используется в песочнице кукушки).
• INESTIM - Сетевая служба эмуляция, полезно при создании вредоносной лаборатории.
• Laika Boss - Laika Boss - это система анализа вредоносных программ и обнаружения вредоносных программ.
• Малкольм - Малкольм - это мощный, легко развертываемый набор инструментов для анализа сетевого трафика для полных артефактов захвата пакетов (файлы PCAP) и журналов Zeek.
• MALCOM - Анализатор связи с вредоносными программами.
• MALTRAIL - Система обнаружения злонамеренных движений, использующая общедоступные (черные) списки, содержащие вредоносные и/или, как правило, подозрительные следы, и включают интерфейс отчетности и анализа.
• mitmproxy - перехват сетевого трафика на лету.
• MOLOCH - IPv4 -захват трафика, индексация и база данных.
• NetworkMiner - Инструмент для анализа сети с бесплатной версией.
• ngrep - Поиск через сетевой трафик, как grep.
• PCAPVIZ - Топология сети и визуализатор трафика.
• Python Icap Yara - сервер ICAP с сканером Yara для URL или контента.
• Squidmagic - Squidmagic - это инструмент, предназначенный для анализа веб -сетевого трафика для обнаружения центральных командных и контрольных серверов (C & C) и вредоносных сайтов с использованием прокси -сервера Squid и Spamhaus.
• TCPDUMP - Соберите сетевой трафик.
• TCPICK - Trach и повторно поток TCP от сетевого трафика.
• TCPXTRACT - Извлечение файлов из сетевого трафика.
• Wireshark - инструмент анализа сетевого трафика.

Инструменты для рассечения вредоносных программ в изображениях памяти или на запущенных системах.

• Blacklight - Windows/Macos Forensics Client, поддерживающий Hiberfil, Pagefile, анализ необработанной памяти.
• Damm - Дифференциальный анализ вредоносных программ в памяти, построенный на волатильности.
• Evolve - Веб -интерфейс для фрейнти -криминалистики памяти.
• Findaes - Найдите клавиши шифрования AES в памяти.
• Invtero.net - высокоскоростная структура анализа памяти, разработанная в .net, поддерживает All Windows X64, включает в себя целостность кода и поддержку записи.
• Muninn - сценарий для автоматизации части анализа с использованием волатильности и создания читаемого отчета. OROCHI - OROCHI - это структура с открытым исходным кодом для совместного анализа дампы судебно -медицинской экспертизы.
• Реколл - структура анализа памяти, разветвленная от волатильности в 2013 году.
• TotalRecall - скрипт на основе волатильности для автоматизации различных задач анализа вредоносных программ.
• Voldiff - Запустите волатильность на изображениях памяти до и после выполнения вредоносных программ, и отчет об изменениях.
• Волатильность - Расширная фондовая фреймпертизм памяти.
• Volutility - Веб -интерфейс для структуры анализа памяти волатильности.
• Wdbgark - Windbg Anti -Rootkit Extension.
• WindBG - Инспекция памяти живой памяти и отладка ядра для Windows Systems.

• Achoir - сценарий реагирования на инцидент в прямом эфире для сбора артефактов Windows.
• Python -EVT - библиотека Python для анализа журналов событий Windows.
• Python -Registry - Библиотека Python для файлов реестра анализа.
• Regripper (GitHub) - Инструмент анализа реестра на основе плагинов.

• Aleph - Система конвейера по анализу вредоносных программ с открытым исходным кодом.
• CRITS - Совместное исследование угроз, вредоносного ПО и репозитория угроз.
• Слава-структура анализа вредоносных программ с использованием конвейера, который может быть расширен с помощью пользовательских модулей, которые могут быть прикованы и взаимодействовать друг с другом для выполнения сквозного анализа.
• Malwarehouse - магазин, теги и поиск вредоносных программ.
• Polichombr - платформа для анализа вредоносных программ, предназначенная для того, чтобы помочь аналитикам совместно обратить вспять Malwares.
• STOQ - Распространенный анализ контента с обширной поддержкой плагина, от ввода до вывода и всего, что между ними.
• Viper - бинарная структура управления и анализа для аналитиков и исследователей.

• Al-Khaser-вредоносная программа POC с хорошими намерениями, которая подчеркивает антимоловые системы.
• Cryptoknight - Автоматизированный криптографический алгоритм обратный инженер и структура классификации.
• DC3 -MWCP - Организация синхрологического анализа «Конфигурация вредоносных программных программных программных программных программных программ».
• Flare VM - полностью настраиваемое распределение безопасности на основе Windows для анализа вредоносных программ.
• MALSPLOITBASE - база данных, содержащая эксплойты, используемые вредоносными программами.
• Музей вредоносных программ - коллекция программ вредоносных программ, которые были распространены в 1980 -х и 1990 -х годах.
• Организатор вредоносных программ - простой инструмент для организации больших вредоносных/доброкачественных файлов в организованную структуру.
• Pafish - Paranoid Fish, демонстрационный инструмент, который использует несколько методов для обнаружения песочниц и анализа, так же, как и семейства вредоносных программ.
• REMNUX - Linux Distribution и Docker Images для инженерии и анализа вредоносных программ.
• Tsurugi Linux - дистрибуция Linux, разработанное для поддержки ваших исследований DFIR, анализа вредоносных программ и OSINT (разведка с открытым исходным кодом).
• Santoku Linux - Linux Distribution для мобильной криминалистики, анализа вредоносных программ и безопасности.

Основной вредоносные программы для анализа чтения.

• Анализ обучения вредоносных программ - Анализ обучения вредоносных программ: изучить концепции, инструменты и методы для анализа и исследования вредоносных программ Windows
• Поваренная книга аналитиков и DVD -диск.
• Мастерский анализ вредоносных программ - анализ вредоносных программ: Полное руководство по аналитику вредоносных программ по борьбе с вредоносным программным обеспечением, APT, CyberCime и IoT Attacks
• Освоение обратной инженерии - Освоение обратной инженерии: реинжиниринг ваших навыков этического взлома
• Практический анализ вредоносных программ - практическое руководство по рассечению вредоносного программного обеспечения.
• Практическая обратная инженерия - промежуточная обратная инженерия.
• Настоящая цифровая криминалистика - компьютерная безопасность и ответ инцидентов.
• Руткиты и буткиты - Руткиты и Буткиты: изменение современных вредоносных программ и угроз следующего поколения
• Искусство памяти - выявление вредоносных программ и угроз в памяти Windows, Linux и Mac.
• Книга IDA Pro - неофициальное руководство по самой популярной в мире разборке.
• The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• APT Notes - A collection of papers and notes related to Advanced Persistent Threats.
• Ember - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• File Formats posters - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• Malicious Software - Malware blog and resources by Lenny Zeltser.
• Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• Malware Persistence - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• RPISEC Malware Analysis - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• Windows Registry specification - Windows registry file format specification.
• /r/csirt_tools - Subreddit for CSIRT tools and resources, with a malware analysis flair.
• /r/Malware - The malware subreddit.
• /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• Android Security
• AppSec
• CTFs
• Executable Packing
• Forensics
• "Hacking"
• Honeypots
• Industrial Control System Security
• Incident-Response
• Infosec
• PCAP Tools
• Pentesting
• Безопасность
• Threat Intelligence
• YARA

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

Спасибо!